Помогите обезвредить сервер после вируса шифровщика

Организация с 10 компьютерами и 2-мя серверами просила помочь в защите от вирусов.
Год назад поймали вирус с шифрованием, на сервере были зашифрованы файлы от 1С 7.7. заплатили, после чего расшифровали данные.
Неделю назад поймали другую разновидность шифровальщика, кроме всего прочего были зашифрованы базы SQL от 1С 8 и резервные копии на другом сервере. Шифровальщик работал на двух серверах, логи были почищены, службы SQL остановлены, заплатили и все расшифровали.
После всего этого позвали меня. Утилиты антивируса касперского в безопасном режиме и с загрузочного диска нашли вирус Trojan-Ransom.Win32.Xorist.lk, судя по дате создания файлов, это остатки первого шифровальщика. Каперский на Утилиту расшифровки первого шифровальщика, тоже так же ругается.
Антивируса на серверах не было, только на рабочих станциях.
Если с первым шифровщиком все понятно, работали в терминале, получили почту и вирус прошел на серер,
то рождается несколько вопросов про второй вирус:
1. По словам админа теперь все работали локально, а вирус прошел на сервера.
2. Как шифровщик мог попасть сразу на два сервера, на которых, судя по датам создания шифрованных файлов, вирус сработал в субботу ночью и проработал часов 8-9 все зашифровав.
3. Как найти и убить эту заразу ?
4. Слишком много натворил вирус, и журналы почистил и службы остановил, все таки как убедиться, что это вирус, а не дело рук удаленного мошенника/инсайдера, который получил административный доступ.

Вот файлы AVZ от контролера домена:

Уважаемый(ая) [B]asz2000[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Расширение у зашифрованных файлов какое?

Расширение файлов было AMBA, также назывался и дешифратор

[quote="asz2000;1312700"]вирус сработал в субботу ночью[/quote]Значит попали удаленно, подобрав пароль

[QUOTE=thyrex;1313671]Значит попали удаленно, подобрав пароль[/QUOTE]
Да RDP был открыт пароль админа, был не очень сложный. Но Я хочу понять действия злоумышлеников.
Т.е. по Вашему единовременное воздействие на обои сервера в выходные указывает на однозначное удаленное управление этим процессом?
Т.е. вирус в сервера не проникал, были просканированы порты, узнали что RDP открыт, подобрали пароль. Или все-таки вирус прошел, открыл какой-то бэкдор, а затем получили удаленный доступ.

Логи avz не показывают признаки наличие вируса ?
Логи avz могут показать наличие бэкдора ?

[quote="asz2000;1313723"]Т.е. по Вашему единовременное воздействие на обои сервера в выходные указывает на однозначное удаленное управление этим процессом?[/quote]а как иначе.
Зашли, сделали черное дело и зачистили следы

Логи в порядке